如何保护在小程序端保护 Flask 写的 API?

2018-06-18 13:09:47 +08:00
 shilielin

打算做个小程序,所以用 Flask 写了后端 API,现在的问题是这个 API 没有加入任何的验证信息。只要知道 API 的连接构造,每个人都可以请求 API,然后修改后台的数据。

因为我的数据都是会在小程序都请求,所以现在的想法就是能不能在微信用户初次给我小程序授权的时候,利用 unionid 生成一个初始的密码,并且利用 unionid+密码生成一个 taken,以后用户每次请求数据的时候,就通过用户的 unionid 和 taken 进行鉴权。

不知道这样是否可行?另外想着到目前给微信小程序使用的 API 常用的处理是怎样的?

小白用户,希望大家可以指点一下,谢谢!

5132 次点击
所在节点    Flask
16 条回复
silhouette
2018-06-18 13:32:53 +08:00
token 不是 taken 哦
janus77
2018-06-18 13:36:30 +08:00
后端自己支持一下 token 验证不行么
hunk
2018-06-18 13:43:48 +08:00
了解下 JWT 登录。
返回 token,保存为 cookie.
shilielin
2018-06-18 15:02:17 +08:00
@silhouette 嗯,写错了
shilielin
2018-06-18 15:03:09 +08:00
@hunk 如果使用 JWT 的话,是不是也要使用 httpauth 的 token 类?
stonehe
2018-06-18 16:07:37 +08:00
flask-httpauth 这么方便简单的库为什么不拿来用
woscaizi
2018-06-18 16:22:47 +08:00
直接在服务端验证 unionId,openId 是否存在,最简单的办法吧。
zhuangzhuang1988
2018-06-18 22:14:47 +08:00
用 django-rest-framework
自己搞认证啥,api 限制啥的瞎折腾 不然直接用标准的
KgM4gLtF0shViDH3
2018-06-18 22:16:16 +08:00
小程序的代码别人拿不到,不知道 root 之后能不能拿到,如果别人拿不到的话可以在客户端存个 secret 然后和时间戳什么的加密成一个 token,请求的时候把 token 带上就能验证了。
shilielin
2018-06-18 22:54:37 +08:00
@zhuangzhuang1988 嗯,我打算用现有的轮子,只是想知道目前大家是不是都是用 Web 和 app 一样的思路处理小程序的 API
wzw
2018-06-18 23:12:46 +08:00
flask-restful 可以去看看
geekcorn
2018-06-18 23:16:13 +08:00
理论上通过微信授权流程链接获取的 unionid 或者 openid 是没法伪造的吧,直接数据库匹配数据就行了吧,不放心就加一层 jwt 认证,推荐 pyjwt 框架
lcy630409
2018-06-19 10:22:25 +08:00
想复杂了,就是把 session 替换成 token
前台在第一次联系后台的时候生成一个唯一 token,返回给前台,前台存在 cookie 里,每次请求的时候在 header 里带上这个 cookie 就行了
mht
2018-06-19 16:44:37 +08:00
@bestkayle 我在一个小程序的交流群里 见过有人专门用安卓手机抓包,然后用 github 上的开源工具解包小程序代码,兜售小程序的源码来着...
shilielin
2018-06-20 12:50:06 +08:00
@mht 这都可以啊
ybark
2018-06-23 22:53:55 +08:00
手机本地找到小程序代码包 wxapkg,通过 github 上有人写的反编译还原脚本(项目距发这条评论前 11 天还在更新)。理论上看,若真要有团队有时间去搞你的小程序,如果你没做特别的处理,小程序就是开源的。那么此时后端 api 带不带 token,就没区别了,整套代码跑起来,token 也能拿到,后面需要 token 的 api 也不用伪造请求。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/463858

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX